Wdrożenie RODO spowodowało przekształcenie przepisów dotyczących wykorzystywania danych osobowych. Wszystkie firmy oraz przedsiębiorstwa, przetwarzające tego typu dane, muszą od tej pory dostosować się do nowo obowiązujących przepisów.
Co to dokładnie oznacza i w jaki sposób sprawdzić, czy nasza firma spełnia wymogi RODO? Jakie mamy ewentualne możliwości na zmiany? Jak wdrożyć RODO w firmie, aby nie narazić się na wysokie kary za nieprzestrzeganie nowych zasad?
Bardzo rozsądnym i bezpiecznym podejściem do tematu (które powinno towarzyszyć każdemu przedsiębiorstwu), jest rozpoczęcie od wewnętrznego audytu zgodności z RODO – a więc od specjalistycznego sprawdzenia i oceny, w jaki sposób dane osobowe w naszej firmie są gromadzone i wykorzystywane.
Odpowiednio przeprowadzony audyt w RODO polega na:
oraz wielu innych czynnościach.
Nieodłącznym elementem planu wdrożenia RODO/GDPR jest przygotowanie odpowiedniej dokumentacji:
oraz wielu innych, specjalistycznych dokumentów.
Finalnie, dobry audyt i wdrożenie RODO powinno zakończyć się przygotowaniem szkoleń dla personelu spółki, aby zapoznać wszystkich z zasadami ochrony danych osobowych. Kluczowe zagadnienia w ramach takiego szkolenia to przykładowo:
Audyty RODO w firmie najlepiej zlecić odpowiedniemu zewnętrznemu podmiotowi, który w dokładny i szczegółowy sposób sprawdzi i oceni każdy element działania Spółki.
Travelist jest pierwszym, polskim usługodawcom w zakresie rezerwacji wypoczynku, udostępniającym użytkownikom serwisu specjalne oferty turystyczne. Stanowi część międzynarodowej grupy Secret Escapes – największego na świecie klubu wycieczkowego, którego oferty docierają do milionów osób w 20 krajach na 3 kontynentach. Prawnicy naszej Kancelarii przeprowadzali w spółce audyt, a następnie proces wdrożenia RODO/GDPR.
Zadaniem naszej Kancelarii było zbadanie, a następnie przygotowanie i wdrożenie wszystkich wymienionych dokumentów i wymogów przy współpracy z pracownikami Spółki oraz zagranicznymi prawnikami, obsługującymi grupę Secret Escapes.
Praca w międzynarodowym teamie wymagała przeprowadzenia procesów w języku polskim i częściowo angielskim. W ramach prowadzonego audytu sporządziliśmy pełną mapę pozyskiwania oraz przepływu i przetwarzania danych osobowych w spółce. Proces ten odbywał się poprzez analizę działalności każdego kolejnego działu spółki.
Ponadto, szczególnie dużo pracy poświęciliśmy na właściwą ocenę możliwości wykorzystania marketingowego posiadanych i pozyskiwanych danych osobowych. Dzięki współpracy z działem marketingu i sprzedaży Travelist.pl udało się wypracować pionierskie (jak na czas wejścia w życie RODO) rozwiązania w zakresie pozyskiwania i wykorzystania danych, które gwarantowały pełną ochronę konsumentów, a jednocześnie pozwalały na ich wykorzystanie w biznesie.
Działania naszej Kancelarii objęły także:
Wykonanie audytu i sprecyzowanie zasad przetwarzania danych osobowych to nie koniec, a początek drogi – następnie należy zadbać o to, aby w organizacji również dalsze procesy przetwarzania danych przebiegały w sposób właściwy.
Efektem przeprowadzonego audytu może być stwierdzenie konieczności wyznaczenia Inspektora Ochrony Danych osobowych. Funkcją takiego inspektora jest bieżące dbanie o właściwe przetwarzanie danych osobowych w firmie. Jego powołanie nie zawsze jest obowiązkowe, jednak z reguły będzie koniecznie w firmach, które przetwarzają znaczne ilości danych lub dane poufne.
W praktyce są dwie możliwości zagospodarowania stanowiska inspektora ochrony danych:
Kto przeprowadza audyt wewnętrzny RODO?
Nie ma prawnych wymogów, określających kto dokładnie powinien przeprowadzać audyt RODO – może to być sam administrator danych (osoba, podmiot, który je przetwarza) lub zatrudniona do tego osoba. Warto zadbać, aby był to ktoś, kogo wiedza będzie dostosowana do skali trudności zadania.
Przykładowo, inaczej będzie przebiegał audyt RODO, gdy w Spółce przetwarzane są proste dane, w niewielkiej ilości, a inaczej gdy Spółka przetwarza dane wrażliwe w dodatku w sporej ilości.
Dane wrażliwe(poufne) to wszelkie dane osobowe, ujawniające stan zdrowia fizyczny lub psychiczny osoby oraz usługi opieki zdrowotnej, z których korzysta. Do danych takich należą m.in. informacje o osobie fizycznej, zbierane w trakcie procesu rejestracji lub świadczenia usług opieki zdrowotnej:
Wbrew pozorom, taka sytuacja nie będzie dotyczyła tylko szpitali czy klinik. Obecnie takim danymi bardzo często dysponuję wszelkie gabinety z branży „beauty”, gabinety lub przychodnie fizjoterapeutyczne czy nawet trenerzy personalni – którzy przed przystąpieniem do ćwiczeń powinni zrobić wywiad, odnośnie do stanu zdrowia swoich klientów.
Zbieranie i wykorzystywanie takich danych wrażliwych, a także ocena czy są one przetwarzane prawidłowo, wymaga szczegółowej znajomości przepisów RODO i nie tylko – ich przetwarzanie wymaga powołania Inspektora Ochrony Danych Osobowych.
Szczególną uwagę trzeba zwrócić, chociażby na formularz zgody pacjenta na przetwarzanie danych osobowych, który należy dostosować do definicji zgody i warunków jej wyrażania zamieszczonych w RODO.
Działająca od czterech lat Depilacja.pl jest największą w Polsce siecią salonów depilacji laserowej. Swoje usługi Spółka oferuje w salonach w ponad 25 miastach w całym kraju, rozwija się również za granicą – pierwsze salony funkcjonują już w Wielkiej Brytanii i Brazylii. Prawnicy naszej Kancelarii uczestniczyli w procesie wdrożenia RODO/GDPR, a obecnie dbają i sprawują kontrolę nad bieżącym przetwarzaniem danych w tej Spółce.
Solidne podejście do tematu nie jest łatwe. Przepisy RODO to skomplikowana materia, narzucająca sporo nowych wymogów. Do tego dochodzi częste przyzwyczajenie do dość swobodnego obchodzenia się z danymi osobowymi, które jest pozostałością po czasach sprzed roku 2018.
Jeżeli decydujesz się na wdrożenie RODO, najlepiej zrobić to w kompleksowy i dokładny sposób:
Należy pamiętać, że przepisy RODO to jedno, lecz dla każdej spółki najważniejsza jest jej działalność biznesowa. Tylko takie podejście do tematu jak wyżej przedstawione, gwarantuje pełne dostosowanie działań i dokumentacji do biznesowych procesów w Spółce.
Podjęcie tematu wdrożenia RODO na szeroką skalę pozwala na dobre rozeznanie się w wartościach i celach danej firmy, dzięki czemu ułatwi wiele procesów danej spółki, m.in. proces rekrutacji, sprzedaży czy marketingu.
Wykonanie audytu i wdrożenie RODO niesie za sobą pewne oczywiste zalety, jest nią np. zgodność działań i dokumentacji firmy z obowiązującym prawem.
Z punktu widzenia bieżącej działalności danej Spółki, ważniejsze jest również wartościowe dopracowanie reguł RODO do biznesowych potrzeb. Szczególnie w branży e-commerce (a także dla wszystkich prowadzących działalność z pomocą Internetu) kluczowe będzie dopasowanie RODO do dwóch zakresów działalności:
W świadomości przedsiębiorców funkcjonuje też sporo nieprawdziwych przekonań, odnoszących się do powyższych kwestii. Często zdarza się, że firmy bombardują użytkowników checkboxami czy prawnymi regułkami, od których brzmienia jeży się włos na głowie – i robią to zupełnie niepotrzebnie.
Dobre rozeznanie w toku prowadzonego audytu pozwala na określenie lub dodanie takich podstaw prawnych, które znacząco uproszczą prowadzenie marketingowych i sprzedażowych działań Spółki.